strict-dynamic 加上后第三方脚本还是被拦截，怎么回事？

我给页面加了 CSP 的 strict-dynamic 策略，本意是让通过可信脚本动态加载的资源能正常执行，但像 Google Tag Manager 这类第三方脚本还是被浏览器拦了，控制台报“blocked by Content Security Policy”。是我理解错了 strict-dynamic 的用法吗？

当前 CSP 头是这样设置的：

<meta http-equiv="Content-Security-Policy"
      content="script-src 'self' 'unsafe-inline' 'strict-dynamic';">

按理说加上 ‘strict-dynamic’ 后应该忽略 ‘self’ 和 ‘unsafe-inline’，只信任由已授权脚本加载的内容，但实际效果好像不是这样……